La députée Valérie Faure-Muntian (LREM) a jeté un pavé dans la mare avec son rapport sur la cyberassurance. Dans ce document, plusieurs propositions sont faites pour clarifier ce secteur en pleine effervescence. Sur la partie ransomware, le rapport fait une proposition choc qui préconise l’inscription dans la loi d’interdire le paiement des rançons par les assureurs.
L’équation économique joue effectivement en défaveur des cyberassureurs, le volume de primes a augmenté de 49% en 2020 (à 130 M€), le montant des indemnisations versées a été multiplié par 3 (à 217 M€ en 2020), précise le rapport. Les derniers chiffres publiés par le Trésor américain peuvent tourner le tournis, 398 millions de dollars de rançons versés au premier semestre 2021. Selon la députée, la France serait devenue un eldorado pour les pirates après la décision de l’administration américaine de sanctionner les entreprises qui pairaient les rançons (paupérisant ainsi un peu le marché US). Une idée aussi reprise par la parlementaire dans son rapport.
Négociateur de ransomware, un rôle qui monte puissance
S'agissant du paiement des rançons à proprement parler, tous les participants des Assises de la Sécurité qui se déroulait à Monaco ne sont pas contre. « Dans certains cas, le paiement est la meilleure solution pour retrouver une activité normale », glisse un RSSI d’un grand groupe qui a souhaité rester anonyme. Pourtant la doctrine officielle est effectivement de ne pas payer la rançon, un mot d’ordre rappelé par Guillaume Poupard, directeur général de l’Anssi, sans toutefois « faire des reproches aux victimes ».
Par-contre, il est plus critique sur les assureurs qui « se focalisent sur les rançons et se dotent de capacités à négocier ». Une porte ouverte à l’arrivée d’intermédiaires peu scrupuleux. Il préfère insister sur l’autre partie de la proposition de la députée Valérie Faure-Muntian, de « se porter davantage vers la prévention, l’accompagnement et l’assurance des conséquences pour une entreprise ».
Un vecteur d’amélioration de la sécurité des entreprises
Pour Guillaume Poupard, « la cyberassurance a un rôle à jouer pour fixer des règles, des bonnes pratiques, c’est une voie complémentaire pour améliorer la sécurité des entreprises ». Les assureurs pousseraient donc les sociétés clientes à renforcer et à optimiser leur sécurité. Ils constitueraient ainsi une brique de la politique de sécurité. « Elle s’inscrit pleinement dans la PSSI (politique de sécurité des systèmes d’information) de la société », reconnait Christophe Tallot, DSI de Mazars. Ce dernier vient d’obtenir la certification 27001 qui spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). Une obtention saluée par les assurances, mais qui n’empêche pas l’envolée des primes d’assurance, « elle a doublé cette année », observe le dirigeant.
Au sein du rapport parlementaire, la députée plaide pour le développement d’un écosystème en rapprochant les assurances nationales des entreprises de cyber sécurité françaises. Parmi ces dernières, on peut citer Citalid, qui propose une plateforme de quantification des expositions financières. Un moyen pour connaître l’intérêt d’être cyberassuré, le montant des primes, la couverture et les exclusions. L’édile prône aussi un effort de cet écosystème auprès des PME-PMI, des collectivités locales et des administrations où la cyberassurance reste « parcellaire et discontinue ». Il reste donc du travail pour structurer cette filière qui a connu une existence erratique (on se souvient de la suspension d’Axa de la garantie de paiement des rançons), mais le rapport parlementaire donne des pistes de réflexion. A méditer donc…